Cadres de gestion des risques : le guide complet 2026 (7 comparés)

Published 2 juin 2026

By Orbiq Team

Cadres de gestion des risques : le guide complet 2026 (7 comparés)

Q: Quels sont les principaux types de cadres de gestion des risques ?

Il existe trois familles. (1) Les cadres d'entreprise fondés sur des principes (ISO 31000, COSO ERM) régissent tous les types de risques et se situent au sommet de la hiérarchie. (2) Les cadres informatiques et de sécurité de l'information (NIST RMF, ISO/IEC 27005, COBIT 2019) gèrent en détail le risque technologique et cyber. (3) Les cadres quantitatifs (FAIR) expriment le risque en termes financiers pour les décisions du conseil. La plupart des organisations matures les superposent : un cadre parapluie plus un ou plusieurs cadres spécialisés.

Q: Quelle est la différence entre ISO 31000 et NIST RMF ?

ISO 31000 est une norme large, fondée sur des principes, applicable à tout type de risque — stratégique, financier, opérationnel ou de conformité — qui indique comment penser le risque sans prescrire de mesures précises. Le NIST Risk Management Framework (NIST SP 800-37) est un processus prescriptif en sept étapes spécifique aux systèmes d'information et au risque cyber, lié au catalogue de mesures NIST SP 800-53. Les organisations utilisent souvent ISO 31000 comme parapluie d'entreprise et NIST RMF pour le processus technique au niveau des systèmes.

Q: Comment NIS2 et DORA se rattachent-ils à ISO 27005 ?

L'article 21(2)(a) de NIS2 exige des « politiques relatives à l'analyse des risques et à la sécurité des systèmes d'information », et le règlement d'exécution (UE) 2024/2690 détaille les exigences techniques de gestion des risques pour de nombreuses entités. ISO/IEC 27005 fournit la méthodologie d'évaluation des risques de sécurité de l'information qui satisfait ces obligations et alimente un SMSI ISO 27001. L'article 6 de DORA exige des entités financières un « cadre solide, complet et bien documenté de gestion du risque informatique » révisé au moins une fois par an ; ISO 27005 fournit le processus d'évaluation du risque informatique, généralement associé à COBIT 2019 pour la gouvernance.

Q: Quel cadre de gestion des risques convient le mieux à ISO 27001 ?

ISO/IEC 27005 est le choix naturel. La clause 6.1 d'ISO 27001 exige d'évaluer et de traiter les risques de sécurité de l'information mais ne prescrit délibérément aucune méthode — ISO 27005 comble cette lacune avec des lignes directrices détaillées sur le contexte, l'identification, l'analyse, l'évaluation et le traitement. Les organisations dont le risque d'entreprise dépasse la sécurité de l'information ajoutent souvent ISO 31000 comme cadre global.

Q: Peut-on utiliser plusieurs cadres de gestion des risques à la fois ?

Oui, et la plupart des organisations réglementées le font. Un modèle européen courant est ISO 31000 comme parapluie, COBIT 2019 pour la gouvernance informatique (surtout sous DORA), ISO 27005 ou NIST RMF pour le processus de sécurité de l'information, et FAIR pour quantifier financièrement les quelques risques les plus critiques. L'essentiel est une gouvernance claire et un registre des risques unique afin que les cadres se complètent au lieu de se dupliquer.

Q: Qu'est-ce que le cadre de gestion des risques de l'ENISA ?

L'ENISA, l'Agence de l'Union européenne pour la cybersécurité, a publié un cadre interopérable de gestion des risques de l'UE (2022) et une boîte à outils associée (2023) pour offrir aux États membres, aux entreprises et aux PME une méthodologie et un vocabulaire communs pour le risque cyber. Ce n'est pas une norme concurrente mais une couche de coordination qui met en correspondance les cadres existants (ISO 27005, NIST, IT-Grundschutz, EBIOS). L'ENISA a également produit les orientations techniques de mise en œuvre du règlement d'exécution (UE) 2024/2690 pour les mesures NIS2.

Q: En quoi un cadre de gestion des risques diffère-t-il d'un référentiel de mesures ?

Un cadre de gestion des risques indique comment identifier, évaluer et décider du traitement des risques — c'est la couche de processus et de gouvernance. Un référentiel de mesures (comme l'annexe A d'ISO 27001 ou NIST SP 800-53) est le catalogue de mesures concrètes que vous sélectionnez pour traiter ces risques. En pratique, les deux fonctionnent ensemble : le cadre produit le registre des risques et le plan de traitement, et les mesures sont le « ce que vous mettez en œuvre ».

Q: Les petites entreprises ont-elles besoin d'un cadre formel de gestion des risques ?

Les petites entreprises n'ont pas besoin d'adopter tous les cadres, mais elles ont besoin d'un processus de risque documenté et reproductible — surtout si elles relèvent de NIS2 en tant qu'« entité importante », fournissent de grands comptes qui exigent ISO 27001, ou sont prestataire informatique d'une entité financière réglementée par DORA. ISO/IEC 27005 ou une application légère d'ISO 31000 est généralement le point de départ le plus proportionné, à étendre vers COBIT 2019 ou FAIR uniquement à mesure que les exigences de gouvernance augmentent.

Comparez les 7 grands cadres de gestion des risques — ISO 31000, NIST RMF, COSO ERM, COBIT 2019, FAIR, ISO 27005 et ENISA — et choisissez le bon pour NIS2, DORA et ISO 27001.

gestion-des-risques

cadres

iso-31000

nist-rmf

coso-erm

cobit

iso-27005

nis2

dora

conformite

Cadres de gestion des risques : le guide complet 2026 (7 comparés)

Réponse courte : Un cadre de gestion des risques est un ensemble structuré de principes, de processus et de pratiques permettant d'identifier, d'évaluer, de traiter, de surveiller et de communiquer les risques de manière systématique. Les sept cadres les plus utilisés en 2026 sont ISO 31000, le NIST Risk Management Framework, COSO ERM, COBIT 2019, FAIR, ISO/IEC 27005 et le cadre interopérable de gestion des risques de l'UE de l'ENISA. Chacun est conçu pour un périmètre différent : gouvernance d'entreprise, informatique et cybersécurité, quantification financière ou interopérabilité réglementaire européenne. Avec l'article 21 de la directive NIS2 et l'article 6 de DORA, exploiter un cadre documenté n'est plus optionnel pour les organisations européennes concernées.

Le choix d'un cadre de gestion des risques est l'une des décisions de conformité les plus structurantes d'une organisation. Le cadre adopté façonne la manière dont vous évaluez chaque menace, dont vous justifiez chaque mesure et — de plus en plus — dont vous prouvez aux autorités, aux auditeurs et aux grands comptes que vos décisions de risque sont défendables.

Ce guide compare en profondeur les sept grands cadres de gestion des risques, les met en correspondance avec les réglementations européennes qui les rendent désormais obligatoires (NIS2, DORA, RGPD) et propose un guide de décision par secteur, taille et exposition réglementaire. Il est rédigé pour le paysage de conformité européen — UE-27, EEE et Royaume-Uni post-Brexit — où la même organisation doit souvent satisfaire plusieurs régimes qui se chevauchent.

Points clés

Un cadre est le processus, pas les mesures. Il indique comment identifier, évaluer, traiter et surveiller le risque. Les mesures (chiffrement, MFA, sauvegardes) sont le quoi que vous mettez en œuvre pour traiter les risques révélés par le cadre.
Les sept cadres se répartissent en trois familles : entreprise/fondé sur des principes (ISO 31000, COSO ERM), informatique et sécurité de l'information (NIST RMF, ISO/IEC 27005, COBIT 2019) et quantitatif (FAIR) — avec le cadre de l'ENISA comme couche d'interopérabilité européenne par-dessus.
NIS2 et DORA imposent désormais des cadres, pas seulement des mesures. L'article 21(2)(a) de NIS2 exige des politiques d'analyse des risques ; le règlement d'exécution (UE) 2024/2690 en détaille les exigences techniques ; l'article 6 de DORA exige un cadre documenté de gestion du risque informatique révisé au moins une fois par an [⁴][⁶].
ISO/IEC 27005 est le choix par défaut pratique des implémenteurs d'ISO 27001 car elle satisfait directement l'exigence d'évaluation des risques de la clause 6.1 et se rattache proprement à NIS2 et DORA.
La plupart des organisations réglementées superposent les cadres : ISO 31000 comme parapluie → COBIT 2019 pour la gouvernance informatique → ISO 27005 / NIST RMF pour le processus cyber → FAIR pour les quelques risques nécessitant un chiffre financier.
Un cadre sur le papier n'est pas une preuve. Il vous faut un registre des risques vivant, des décisions de traitement documentées et une supervision au niveau du conseil — et un moyen d'exposer ces preuves aux parties prenantes qui les demandent.

Qu'est-ce qu'un cadre de gestion des risques ?

Un cadre de gestion des risques est un système structuré et reproductible de gestion du risque. Quel que soit le standard adopté, tout cadre crédible définit cinq capacités :

Identifier — ce qui peut mal tourner et où (actifs, menaces, vulnérabilités, dépendances)
Évaluer — la probabilité de chaque risque et la gravité de l'impact
Traiter — la décision d'atténuer, de transférer, d'accepter ou d'éviter chaque risque
Surveiller — un suivi continu, pour que l'image du risque reste à jour quand l'environnement évolue
Communiquer — la transmission des risques à la direction, aux autorités, aux clients et aux auditeurs

La raison en est la cohérence. Sans cadre, deux équipes évaluent le même risque différemment, des lacunes documentaires apparaissent, et vous ne pouvez pas produire les preuves cohérentes et défendables qu'attendent les autorités de contrôle NIS2, les autorités compétentes DORA ou un organisme de certification ISO 27001.

Un cadre se distingue aussi d'un référentiel de mesures. L'annexe A d'ISO 27001 et NIST SP 800-53 sont des catalogues de mesures — le « ce que vous mettez en œuvre ». Un cadre de gestion des risques est le « comment vous décidez ». Les deux se complètent : le cadre produit le registre des risques et le plan de traitement ; les mesures traitent les risques qu'il identifie.

Les 7 grands cadres de gestion des risques

1. ISO 31000 — Gestion des risques d'entreprise, fondée sur des principes

Objet et périmètre : Une norme universelle, fondée sur des principes, pour gérer tout type de risque — stratégique, financier, opérationnel, de conformité ou cyber. ISO 31000:2018 fournit des principes, un cadre et un processus générique ; elle ne prescrit délibérément aucune mesure [⁵].

Utilisateurs principaux : Conseils et fonctions risque souhaitant une référence unique à l'échelle de l'organisation. C'est la voie la plus simple vers la gestion des risques d'entreprise pour les entreprises non américaines et de taille intermédiaire, adoptée comme norme nationale dans de nombreux pays [¹].

Adoption dans l'UE : Très élevée. ISO 31000 est le cadre parapluie par défaut des industriels, scale-ups et organisations ancrées ISO de toute l'Europe, et structure le vocabulaire du risque de nombreux guides nationaux de transposition.

Forces : Flexible, agnostique au secteur, internationalement reconnue ; fonctionne au sommet d'une pile de cadres superposés. Limites : De haut niveau — elle indique comment penser le risque, pas quelles mesures déployer. Elle nécessite un complément spécialisé pour la cybersécurité ou la gouvernance informatique.

2. NIST Risk Management Framework (RMF)

Objet et périmètre : Un processus prescriptif en sept étapes pour intégrer sécurité et gestion des risques dans les systèmes d'information, défini dans NIST SP 800-37 : Prepare, Categorize, Select, Implement, Assess, Authorize, Monitor. Il est lié au catalogue de mesures NIST SP 800-53 [¹].

Utilisateurs principaux : Organisations gérant des systèmes d'information, surtout celles alignées sur les standards fédéraux américains, NIST CSF, FedRAMP ou CMMC — et de plus en plus les équipes technologiques européennes voulant un processus cyber détaillé étape par étape.

Adoption dans l'UE : Modérée. D'origine américaine et non un standard de certification, mais largement utilisé par les entreprises de l'UE ayant des clients ou une exposition fédérale américaine, et souvent associé à ISO 31000 au niveau entreprise.

Forces : Prescriptif, abondamment documenté, gratuit et étroitement intégré au catalogue de mesures NIST. Limites : Centré sur les États-Unis et sur les systèmes ; lourd pour les petites organisations et sans couverture du risque d'entreprise hors informatique.

3. COSO ERM — Gestion des risques d'entreprise pour la gouvernance

Objet et périmètre : Le cadre dominant de gestion des risques d'entreprise dans un contexte de gouvernance d'entreprise et d'information financière. La mise à jour de 2017 organise le risque autour de cinq composantes : Gouvernance et culture ; Stratégie et définition des objectifs ; Performance ; Revue et révision ; Information, communication et reporting [¹].

Utilisateurs principaux : Conseils, comités d'audit et sociétés cotées — la référence des émetteurs SEC, des banques sous supervision prudentielle américaine et des programmes de contrôle interne SOX.

Adoption dans l'UE : Sélective. Courant chez les acteurs financiers de l'UE et les multinationales cotées, surtout avec des obligations de reporting américaines ; moins répandu chez les PME de l'UE, qui trouvent ISO 31000 plus léger.

Forces : Fort accent sur la gouvernance au niveau du conseil ; s'aligne naturellement avec SOX et le reporting de contrôle interne. Limites : Large et orienté gouvernance ; nécessite un complément pour le cyber et l'informatique, et peut paraître abstrait aux équipes opérationnelles.

4. COBIT 2019 — Gouvernance et gestion informatique

Objet et périmètre : Le cadre de l'ISACA pour la gouvernance et la gestion de l'informatique d'entreprise. Il contient 40 objectifs de gouvernance et de gestion répartis sur cinq domaines : EDM (Evaluate, Direct, Monitor), APO (Align, Plan, Organize), BAI (Build, Acquire, Implement), DSS (Deliver, Service, Support) et MEA (Monitor, Evaluate, Assess) [³].

Utilisateurs principaux : Équipes de gouvernance informatique, d'audit interne et de risque — surtout les entités financières sous DORA, où la gouvernance informatique au niveau du conseil est obligatoire.

Adoption dans l'UE : En forte croissance dans la finance. L'ISACA a publié en 2025 des orientations sur l'usage de COBIT pour NIS2 et DORA, et les domaines EDM/APO se rattachent directement aux obligations de gouvernance de DORA [²].

Forces : Périmètre complet de gouvernance informatique ; correspondance réglementaire claire (DORA, NIS2, contrôles informatiques SOX) ; objectifs mesurables. Limites : Complexe à mettre en œuvre intégralement ; centré sur l'informatique, donc à compléter par ISO 31000 pour le risque hors informatique et avec accès aux ressources ISACA.

5. FAIR — Analyse quantitative du risque cyber

Objet et périmètre : Factor Analysis of Information Risk est un modèle quantitatif qui exprime le risque cyber en perte financière probable, en le décomposant en fréquence des événements de perte et ampleur des pertes. L'Open Group a formalisé FAIR en 2013 dans l'Open FAIR Body of Knowledge (les standards de taxonomie O-RT et d'analyse O-RA) [⁷].

Utilisateurs principaux : RSSI et analystes quantitatifs devant justifier les investissements de sécurité auprès d'un conseil en euros plutôt qu'en rouge/orange/vert.

Adoption dans l'UE : De niche mais en hausse, surtout chez les grandes institutions financières et assureurs de l'UE souhaitant exprimer le risque cyber en valeurs monétaires pour le capital et le conseil.

Forces : Produit des indicateurs financiers que les dirigeants comprennent ; permet une vraie analyse coûts-bénéfices des mesures. Limites : Gourmand en données et plus complexe que les méthodes qualitatives ; fonctionne au mieux en complément d'un cadre structurel, non en autonomie.

6. ISO/IEC 27005 — Gestion des risques de sécurité de l'information

Objet et périmètre : Lignes directrices détaillées pour la gestion des risques de sécurité de l'information, conçues pour compléter ISO/IEC 27001. ISO/IEC 27005:2022 couvre l'établissement du contexte, l'identification des risques (actifs, menaces, vulnérabilités, impacts), l'analyse, l'évaluation, le traitement et la surveillance continue [⁶].

Utilisateurs principaux : Toute organisation mettant en œuvre ou maintenant ISO 27001 — c'est la méthodologie qui satisfait la clause 6.1.

Adoption dans l'UE : Très élevée. Comme ISO 27001 est la base de sécurité européenne de fait et est référencée par NIS2 et DORA, ISO 27005 est la méthodologie de risque de sécurité de l'information la plus utilisée dans l'UE, l'EEE et le Royaume-Uni.

Forces : Soutient directement ISO 27001 ; pratique, spécifique et bien établie ; se rattache proprement aux obligations de risque de NIS2 et DORA. Limites : Limitée à la sécurité de l'information ; plus utile dans un contexte ISO 27001.

7. Le cadre interopérable de gestion des risques de l'UE de l'ENISA

Objet et périmètre : Non une norme concurrente mais une couche d'interopérabilité de l'UE. L'ENISA, l'Agence de l'UE pour la cybersécurité, a publié le cadre interopérable de gestion des risques de l'UE (2022) et la boîte à outils interopérable de gestion des risques de l'UE (2023) pour offrir aux États membres, entreprises et PME une méthodologie et un vocabulaire communs, et mettre en correspondance les cadres existants (ISO 27005, NIST, IT-Grundschutz, EBIOS) [⁸].

Utilisateurs principaux : Autorités de l'UE, organismes des États membres et organisations transfrontalières ayant besoin d'une référence commune pour NIS2.

Adoption dans l'UE : Croissante via NIS2. L'ENISA a produit les orientations techniques de mise en œuvre derrière le règlement d'exécution (UE) 2024/2690, qui fixe les exigences techniques et méthodologiques des mesures de l'article 21(2) de NIS2 pour les entités concernées [⁸][⁴].

Forces : Réduit les frictions de coordination transfrontalières et intersectorielles ; directement aligné sur le règlement d'exécution NIS2. Limites : Une couche de coordination plutôt qu'une méthode autonome — vous implémentez toujours un cadre sous-jacent tel qu'ISO 27005.

Les cadres de gestion des risques comparés (côte à côte)

Cadre	Objet / Périmètre	Approche	Utilisateurs principaux	Adoption dans l'UE
ISO 31000	Tous types de risque, à l'échelle de l'entreprise	Fondée sur des principes, flexible	Conseils, fonctions risque	Très élevée — parapluie par défaut
NIST RMF	Systèmes d'information et cyber	Prescriptif, 7 étapes	Équipes IT/sécurité, orientées US	Modérée — courant avec exposition US
COSO ERM	Risque d'entreprise et de reporting financier	Orienté gouvernance, 5 composantes	Conseils, comités d'audit, sociétés cotées	Sélective — finance et sociétés cotées
COBIT 2019	Gouvernance et gestion informatique	Fondé sur 40 objectifs	Gouvernance IT, entités financières DORA	En forte croissance dans la finance
FAIR	Risque cyber quantitatif	Fondé sur les données, financier	RSSI, analystes risque, assureurs	De niche mais en hausse
ISO/IEC 27005	Risque de sécurité de l'information	Méthodologie, complète ISO 27001	Implémenteurs ISO 27001	Très élevée — base de sécurité de l'UE
ENISA EU RMF	Interopérabilité UE / NIS2	Couche de coordination et de mise en correspondance	Autorités UE, organisations transfrontalières	Croissante via NIS2

Le périmètre et l'adoption reflètent la pratique 2026 dans l'UE-27, l'EEE et le Royaume-Uni. La plupart des organisations réglementées en exploitent deux ou plus dans un modèle superposé plutôt que d'en choisir un isolément.

Quel cadre convient à mon entreprise ? Un guide de décision

Il n'y a pas de « meilleur » cadre unique — la bonne réponse dépend de votre secteur, taille et exposition réglementaire. Utilisez les trois angles ci-dessous.

Par moteur réglementaire

Si vous devez respecter…	Adoptez…
NIS2 (entité essentielle / importante)	ISO/IEC 27005 + ISO 31000, alignés sur le cadre de l'ENISA et le règl. (UE) 2024/2690
DORA (entité financière / prestataire informatique)	COBIT 2019 (gouvernance) + ISO/IEC 27005 (processus de risque informatique)
Certification ISO 27001	ISO/IEC 27005
SOX / reporting financier	COSO ERM
NIST CSF / fédéral américain	NIST RMF
Plusieurs régimes UE simultanés	ISO 31000 (parapluie) + COBIT 2019 + ISO/IEC 27005

Par périmètre de risque

Sécurité de l'information uniquement → ISO/IEC 27005 ou NIST RMF
Gouvernance et gestion informatique → COBIT 2019 (essentiel pour les entités réglementées DORA)
À l'échelle de l'entreprise, tous types de risque → ISO 31000 ou COSO ERM
Besoin d'un chiffre financier pour le conseil → ajoutez FAIR par-dessus votre cadre structurel

Par taille et maturité de l'organisation

Débutant / PME / première ISO 27001 : ISO/IEC 27005 est le point d'entrée le plus proportionné et structuré. Une « entité importante » sous NIS2 ou un sous-traitant informatique sous DORA dans cette catégorie a quand même besoin d'un processus documenté — mais pas des 40 objectifs COBIT.
En croissance / multi-réglementation : ISO 31000 comme parapluie, avec ISO 27005 pour le processus cyber et COBIT pour la gouvernance informatique là où DORA s'applique.
Grande / réglementée / reporting au conseil : Un modèle superposé complet — ISO 31000 + COSO ERM au sommet, COBIT 2019 pour la gouvernance informatique, ISO 27005 / NIST RMF pour le processus cyber, et FAIR pour quantifier les risques les plus impactants.

Pour une vue plus approfondie de la place d'une plateforme unique de sécurité de l'information dans cette pile, consultez notre comparatif des meilleurs logiciels SMSI en 2026 et notre guide sur ce qu'est réellement ISO 27001.

Comment NIS2 et DORA se rattachent à ISO 27005 (le différenciateur européen)

C'est ici que les organisations européennes s'écartent fortement d'un choix de cadre centré sur les États-Unis. Dans l'UE, deux réglementations ont fait passer le fait d'« avoir un cadre de gestion des risques » d'une bonne pratique à une obligation légale — et toutes deux se rattachent à ISO/IEC 27005.

NIS2 article 21 → ISO 27005

L'article 21(2)(a) de la directive NIS2 (directive (UE) 2022/2555) exige des entités essentielles et importantes concernées des « politiques relatives à l'analyse des risques et à la sécurité des systèmes d'information ». Il énumère ensuite dix mesures minimales de gestion des risques couvrant le traitement des incidents, la continuité d'activité, la sécurité de la chaîne d'approvisionnement et plus encore [⁴].

En octobre 2024, le règlement d'exécution (UE) 2024/2690 a fixé les exigences techniques et méthodologiques des mesures de l'article 21(2) pour des catégories d'entités pertinentes (telles que les fournisseurs DNS, les services cloud et de centre de données et les fournisseurs de services gérés), l'ENISA fournissant les orientations techniques de mise en œuvre [⁴][⁸].

ISO/IEC 27005 fournit la méthodologie d'évaluation des risques qui produit l'« analyse des risques » documentée exigée par NIS2 : contexte, identification des actifs/menaces/vulnérabilités, analyse, évaluation par rapport aux critères d'acceptation et traitement. Comme ISO 27005 alimente un SMSI ISO 27001, une organisation dotée d'un programme aligné sur 27001 produit déjà une grande partie des preuves qu'une autorité de contrôle NIS2 demandera — étant entendu que la notification précoce sous 24 heures de NIS2 et la responsabilité des organes de direction se situent en dehors de tout SMSI et exigent une mise en œuvre supplémentaire. Voir notre guide de la directive NIS2 pour la ventilation complète de l'article 21.

DORA article 6 → ISO 27005 (+ COBIT)

L'article 6 de DORA (règlement (UE) 2022/2554) exige de chaque entité financière concernée un « cadre solide, complet et bien documenté de gestion du risque informatique faisant partie de [son] système global de gestion des risques », lui permettant de répondre au risque informatique « rapidement, efficacement et de manière exhaustive ». Le cadre doit comporter une stratégie de résilience opérationnelle numérique, être révisé au moins une fois par an (et après tout incident informatique majeur) et — pour les entités autres que les microentreprises — faire l'objet d'un audit interne indépendant par des auditeurs disposant d'une expertise informatique [⁶].

DORA est plus prescriptif que NIS2. Les entités financières le mettent généralement en œuvre en deux couches : COBIT 2019 pour la couche de gouvernance et de gestion (ses domaines EDM et APO se rattachent directement aux obligations de responsabilité du conseil et de surveillance de DORA), et ISO/IEC 27005 pour le processus sous-jacent d'évaluation du risque informatique. Les orientations 2025 de l'ISACA traitent COBIT comme une forte adéquation à DORA et NIS2, non comme un modèle imposé [²]. Notre guide de conformité DORA couvre intégralement le dispositif des articles 5 à 16.

Qui les fait appliquer : les autorités nationales compétentes

Point essentiel : ni NIS2 ni DORA ne sont supervisées par un régulateur européen central — toutes deux sont contrôlées et appliquées par des autorités nationales compétentes désignées par chaque État membre. En France, l'ANSSI est l'autorité nationale compétente et le point de contact unique pour NIS2 (les entités concernées s'y pré-enregistrent), tandis que pour DORA la supervision relève de l'ACPR pour la banque et l'assurance et de l'AMF pour les marchés financiers [¹⁰][¹¹]. Le même schéma s'applique dans toute l'UE : pour NIS2, le BSI en Allemagne (au titre du NIS2-Umsetzungsgesetz / NIS2UmsuCG) et la Rijksinspectie Digitale Infrastructuur (RDI) aux Pays-Bas, avec le NCSC-NL comme CSIRT opérationnel ; pour DORA, la BaFin en Allemagne et De Nederlandsche Bank (DNB) avec l'AFM aux Pays-Bas [¹⁰][¹¹]. Un programme de risque fondé sur ISO 27005 produit la même base de preuves documentée, quelle que soit l'autorité qui frappe à la porte.

Le dividende de conformité

Conséquence pratique : une organisation qui construit son processus de risque sur ISO/IEC 27005 au sein d'un SMSI ISO 27001 établit un registre des risques et une base de preuves uniques pouvant satisfaire simultanément l'article 21 de NIS2, l'article 6 de DORA et les « mesures techniques et organisationnelles appropriées » de l'article 32 du RGPD — les preuves sont mises en correspondance une fois au lieu de trois.

La gestion des risques au-delà de l'UE-27 : Royaume-Uni et Norvège/EEE

Un programme de risque paneuropéen doit tenir compte de l'EEE et du Royaume-Uni post-Brexit, où la destination est similaire mais l'itinéraire diffère.

Royaume-Uni (divergence post-Brexit)

Le Royaume-Uni n'a pas adopté DORA. Les entreprises financières suivent plutôt le régime de résilience opérationnelle FCA/PRA au titre du Policy Statement PS21/3, qui exigeait des firmes d'identifier les services métier importants, de fixer des seuils de tolérance et d'être pleinement conformes au 31 mars 2025 [⁹]. La FCA est depuis allée plus loin avec PS26/2 sur la notification des incidents opérationnels et des tiers, réduisant — sans le combler — l'écart avec DORA [⁹].

Pour le risque cyber plus largement, les autorités britanniques se réfèrent au Cyber Assessment Framework (CAF) du NCSC [⁹]. Les principes axés sur les résultats du CAF se rattachent étroitement à l'annexe A d'ISO 27001, de sorte qu'ISO 31000 + ISO 27005 reste la base la plus pragmatique à travers plusieurs juridictions. Le futur UK Cyber Security and Resilience Bill devrait rapprocher le Royaume-Uni de NIS2 sans l'adopter pleinement.

Norvège (EEE)

La Norvège applique le droit européen de la cybersécurité via l'accord EEE. Notamment, la Norvège a renoncé à publier sa propre variante d'ISO 27001, superposant plutôt des règles nationales et sectorielles à ISO/IEC 27001:2022 — un programme fondé sur 27001/27005 est donc la bonne base pour les activités norvégiennes. La Nasjonal sikkerhetsmyndighet (NSM) publie les influents ICT Security Principles, et le Sikkerhetsloven (loi sur la sécurité nationale) régit les entités liées aux fonctions nationales fondamentales. La transposition par la Norvège de NIS2 via son dispositif de loi sur la sécurité numérique progresse, avec la NSM comme autorité centrale. L'autorité norvégienne de protection des données, Datatilsynet, supervise la dimension RGPD/personvern du risque.

En résumé pour les acteurs européens : un parapluie ISO 31000 avec un processus de risque de sécurité de l'information ISO/IEC 27005 offre la base unique la plus solide à travers l'UE-27, l'EEE et le Royaume-Uni — vous superposez ensuite les obligations propres à chaque juridiction (notification NIS2, audit DORA, seuils de tolérance FCA).

Erreurs courantes lors de l'adoption d'un cadre

Traiter l'évaluation des risques comme une case à cocher annuelle. Un registre des risques actualisé une fois par an puis archivé ne réduit aucun risque et ne survivra pas à une inspection NIS2 ou DORA. Les cadres efficaces sont continus.
Confondre le cadre et les mesures. Sauter directement au MFA et au chiffrement signifie que vous ne pouvez pas expliquer pourquoi vous avez choisi ces mesures ni si elles adressent vos risques réels.
Adopter un seul cadre pour tout. Le risque d'entreprise, de gouvernance informatique, de sécurité de l'information et quantitatif ont des dynamiques différentes. Une approche superposée l'emporte presque toujours.
Ne pas relier le risque à la preuve. Votre registre des risques, vos décisions de traitement et vos acceptations de risque résiduel sont vos preuves de conformité. Si une autorité, un auditeur ou un grand compte ne peut pas les voir, le cadre n'apporte aucune valeur d'assurance.

Des résultats du cadre aux preuves Trust Center maîtrisées

Un cadre de gestion des risques produit exactement les artefacts que les clients, auditeurs et autorités veulent voir : un registre des risques à jour, des décisions de traitement documentées, des preuves de supervision par le conseil et la démonstration que le risque résiduel correspond à l'appétence au risque déclarée. Le mode d'échec récurrent est que ces résultats vivent dans des tableurs et des présentations auxquels personne en dehors de l'équipe risque ne peut accéder.

C'est là qu'un Trust Center devient la couche de preuve externe de votre cadre. Plutôt que de retranscrire votre plan de traitement des risques ISO 27005 dans un questionnaire de sécurité de 200 questions pour chaque prospect, vous publiez une fois des preuves maîtrisées et versionnées — votre certificat ISO 27001, votre posture de gestion des risques NIS2/DORA, l'état de vos mesures — et laissez les acheteurs et leurs agents IA les consulter en libre-service.

L'automatisation de la conformité boucle la boucle en collectant en continu les preuves sous-jacentes et en les alimentant dans cette couche externe, afin que l'écart entre « nous avons un cadre » et « nous pouvons le prouver » disparaisse.

Foire aux questions

Qu'est-ce qu'un cadre de gestion des risques ?

Un cadre de gestion des risques est un ensemble structuré de principes, de processus et de pratiques permettant d'identifier, d'évaluer, de traiter, de surveiller et de communiquer les risques de manière reproductible. Les exemples reconnus incluent ISO 31000, NIST RMF, COSO ERM, COBIT 2019, FAIR et ISO/IEC 27005. En vertu de l'article 21 de NIS2 et de l'article 6 de DORA, les organisations européennes concernées doivent exploiter un cadre documenté.

Quels sont les principaux types de cadres de gestion des risques ?

Il existe trois familles : entreprise/fondé sur des principes (ISO 31000, COSO ERM), informatique et sécurité de l'information (NIST RMF, ISO/IEC 27005, COBIT 2019) et quantitatif (FAIR). La plupart des organisations matures les superposent, avec un cadre parapluie plus des cadres spécialisés.

Quelle est la différence entre ISO 31000 et NIST RMF ?

ISO 31000 est une norme large, fondée sur des principes, pour tout type de risque, qui indique comment penser le risque. NIST RMF (SP 800-37) est un processus prescriptif en sept étapes pour les systèmes d'information et la cybersécurité, lié au catalogue SP 800-53. Beaucoup d'organisations utilisent ISO 31000 comme parapluie et NIST RMF pour le processus technique.

Comment NIS2 et DORA se rattachent-ils à ISO 27005 ?

L'article 21(2)(a) de NIS2 exige des politiques d'analyse des risques, détaillées par le règlement d'exécution (UE) 2024/2690 ; ISO/IEC 27005 fournit la méthodologie. L'article 6 de DORA exige un cadre documenté de gestion du risque informatique révisé au moins une fois par an ; ISO 27005 fournit le processus de risque informatique, généralement avec COBIT 2019 pour la gouvernance.

Quel cadre de gestion des risques convient le mieux à ISO 27001 ?

ISO/IEC 27005, car elle satisfait directement l'exigence d'évaluation des risques de la clause 6.1 d'ISO 27001. Les organisations dont le risque d'entreprise dépasse la sécurité de l'information ajoutent souvent ISO 31000 comme cadre global.

Peut-on utiliser plusieurs cadres de gestion des risques à la fois ?

Oui — la plupart des organisations réglementées superposent ISO 31000 (parapluie), COBIT 2019 (gouvernance IT), ISO 27005 ou NIST RMF (processus de sécurité de l'information) et FAIR (quantification). Une gouvernance claire et un registre des risques unique les maintiennent complémentaires.

Qu'est-ce que le cadre de gestion des risques de l'ENISA ?

Le cadre interopérable de gestion des risques de l'UE de l'ENISA (2022) et la boîte à outils (2023) fournissent une méthodologie et un vocabulaire communs pour le risque cyber de l'UE, en mettant en correspondance les cadres existants. L'ENISA a également produit les orientations techniques derrière le règlement d'exécution NIS2 (UE) 2024/2690.

En quoi un cadre de gestion des risques diffère-t-il d'un référentiel de mesures ?

Un cadre de gestion des risques est la couche de processus et de gouvernance (comment vous décidez). Un référentiel de mesures, comme l'annexe A d'ISO 27001 ou NIST SP 800-53, est le catalogue de mesures (ce que vous mettez en œuvre). Les deux fonctionnent ensemble.

Les petites entreprises ont-elles besoin d'un cadre formel de gestion des risques ?

Elles ont besoin d'un processus documenté et reproductible — surtout si elles relèvent de NIS2, fournissent des clients exigeant ISO 27001, ou sont prestataire informatique d'une entité réglementée par DORA. ISO/IEC 27005 ou une application légère d'ISO 31000 est généralement le point de départ le plus proportionné.

Pour aller plus loin

Qu'est-ce qu'ISO 27001 ? Le guide complet 2026 — la norme dont la clause 6.1 est satisfaite par ISO 27005
10 meilleurs logiciels SMSI en 2026 — les plateformes qui opérationnalisent votre cadre de risque
Guide de la directive NIS2 — les mesures de gestion des risques de l'article 21 en détail
Guide de conformité DORA — le cadre de gestion du risque informatique des articles 5 à 16
Cadres de gestion des risques (glossaire) — la définition de référence rapide
Automatisation de la conformité — collecter en continu les preuves du cadre

Sources & références

[¹] Moradi, P. — « COSO-ERM, NIST RMF, ISO 31000, COBIT » (comparaison de cadres) : https://www.linkedin.com/pulse/coso-erm-nist-rmf-iso-31000-cobit-pooyan-moradi

[²] ISACA — « Resilience and Security in Critical Sectors: Navigating NIS2 and DORA Requirements » (2025) : https://www.isaca.org/resources/white-papers/2025/resilience-and-security-in-critical-sectors-navigating-nis2-and-dora-requirements

[³] ISACA — COBIT 2019 Framework (Governance and Management Objectives) : https://www.isaca.org/resources/cobit

[⁴] EUR-Lex — Directive (UE) 2022/2555 (NIS2), article 21 ; et règlement d'exécution (UE) 2024/2690 : https://eur-lex.europa.eu/eli/dir/2022/2555/oj | https://eur-lex.europa.eu/eli/reg_impl/2024/2690/oj

[⁵] ISO — ISO 31000:2018 Management du risque — Lignes directrices : https://www.iso.org/standard/65694.html

[⁶] EUR-Lex — Règlement (UE) 2022/2554 (DORA), article 6 (cadre de gestion du risque informatique) ; ISO/IEC 27005:2022 : https://eur-lex.europa.eu/eli/reg/2022/2554/oj/eng | https://www.iso.org/standard/80585.html

[⁷] The Open Group — Open FAIR Body of Knowledge (taxonomie du risque O-RT et analyse du risque O-RA) : https://www.opengroup.org/open-fair

[⁸] ENISA — Interoperable EU Risk Management Framework & Toolbox ; orientations techniques de mise en œuvre sur les mesures de gestion des risques : https://www.enisa.europa.eu/publications/interoperable-eu-risk-management-framework | https://www.enisa.europa.eu/topics/risk-management

[⁹] FCA — PS21/3 Building Operational Resilience et PS26/2 Operational Incident & Third-Party Reporting ; NCSC — Cyber Assessment Framework (CAF) v4.0 : https://www.fca.org.uk/publications/policy-statements/ps21-3-operational-resilience | https://www.ncsc.gov.uk/collection/cyber-assessment-framework

[¹⁰] Autorités nationales compétentes NIS2 — ANSSI (France) et pages de mise en œuvre NIS2 de la Commission européenne (Allemagne / Pays-Bas) : https://cyber.gouv.fr/en/regulations/the-nis-2-directive/ | https://digital-strategy.ec.europa.eu/en/policies/nis2-directive-france

[¹¹] Autorités nationales compétentes DORA — ACPR/AMF (France), BaFin (Allemagne), DNB/AFM (Pays-Bas) : https://acpr.banque-france.fr/en | https://eur-lex.europa.eu/eli/reg/2022/2554/oj/eng